Sie sind auf Seite 1von 24

AUDITORIA INFORMATICA

UNIDAD 1: INTRODUCCION
OBJETIVO o competencia a desarrollar:
OBJETIVOS GENERALES DEL CURSO
Utilizar tcnicas y herramientas en la evaluacin de las diferentes reas relacionadas con la
informtica en las organizaciones.
COMPETENCIAS ESPECFICAS A DESARROLLAR
Identificar las reas de oportunidad en aplicacin de la auditora informtica.
Realizando una planificacin del proceso de la auditora informtica.
TEMARIO:
1.1. Definicin y clasificacin.
1.2. Tipos de auditora y su relacin con la auditora en Informtica.
1.3. Normas y procedimientos de auditora.
1.4. Planeacin y supervisin del trabajo de auditora.
1.5. Uso de tcnicas asistidas por computadora.
1.6. Responsabilidad del auditor en el descubrimiento de errores y desviaciones.
1.7. Importancia relativa y riesgo de auditora.
1.8. Documentacin de la auditora.
1.9. Evidencia comprobatoria.
1.10. Control interno.
1.11. Resumen.
1.12. Metodologa para el desarrollo e implantacin de auditora.
1.13. Informe final de la auditora.
ACTIVIDADES DE APRENDIZAJE
Investigar en distintas fuentes de informacin los tipos, ventajas y desventajas de la auditora
informtica junto con las consideraciones para llevarla a cabo, identificando las reas de
oportunidad en aplicacin de la auditora informtica.
Considerando la finalidad y requerimientos para evaluar los rubros del rea informtica: realizar la
planificacin del proceso de la auditora informtica.

contenido de la unidad
TEMA 1: DEFINICION Y CLASIFICACION

El trmino auditoria proviene del verbo latino audire que significa or, su sustantivo latino es
auditor,que significa el que oye. Es decir que, escuchando los argumentos de aquellos a quienes
deban controlar. Se dice que esto sucedi en tiempo pasados por lo primitivo de los registros.
En ese entendido, se puede dar la siguiente definicin de Auditoria.
Auditoria es el examen objetivo y sistemtico de las operaciones financieras y administrativas,
realizadas por profesionales independientes, con posterioridad a su ejecucin, con la finalidad de
evaluarlas, verificarlas y elaborar un informe que contenga observaciones, conclusiones,
recomendaciones y el correspondiente dictamen cuando corresponda.
Debido a la amplia actividad que poseen las empresas hoy en da y de acuerdo a la necesidad de
orden y control especficos por reas, la auditoria se ha dividido o clasificado para cubrir estas
necesidades especficas, con la finalidad de asegurar a los empresarios en un alto porcentaje que
las actividades de su empresa se estn desempeando correctamente en su integridad. Es as que
dicha clasificacin es la siguiente:
* Segn el sujeto. Hace referencia a quien o quienes efectan la auditoria y se sub divide:
- Auditores Externos (Profesionales Independientes)
- Auditores Internos (Profesionales Dependientes de la empresa)
* Segn el objeto. Hace referencia al alcance del trabajo, es decir a un rea especfica de la
empresa y se sub divide:
- Auditora Interna Integral o Gubernamental.
- Auditora Financiera.
- Auditoria Administrativa.
- Auditoria Operativa.
- Auditoria Social.
- Auditoria de Sistemas Computarizados.
- Auditoria Econmica.
- Auditoria de Efectividad.
- Auditoria de Calidad.
- Auditoria Medioambiental
- Auditoria de Costos.
-Auditoria de seguridad industrial.
- Otras reas de la empresa que por su magnitud necesiten de una un control y evaluacin.

TEMA 2: TIPOS DE AUDITORIA Y SU RELACION CON LA AUDITORIA INFORMATICA


La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados
para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un
sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos,
lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple
con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los
recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es

crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades,


costes, valor y barreras, que obstaculizan flujos de informacin eficientes. En si la auditoria
informtica tiene 2 tipos las cuales son: AUDITORIA INTERNA: es aquella que se hace adentro de la
empresa; sin contratar a personas de afuera. AUDITORIA EXTERNA: como su nombre lo dice es
aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria en su
empresa. Auditar consiste principalmente en estudiar los mecanismos de control que os o
estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos.
Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de
recuperacin ante una contingencia.
Los objetivos de la auditora Informtica son:
El anlisis de la eficiencia de los Sistemas InformticosLa verificacin del cumplimiento de la
Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.
Sus beneficios son:
Mejora la imagen pblica.
Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversin en un entorno de TI, a menudo impredecible.
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:
* Desempeo
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:
* Gobierno corporativo
Administracin del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Proteccin y Seguridad
Planes de continuidad y Recuperacin de desastres
La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora
informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO e ITIL.
Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una
de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso de
seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado
acumulando horas (puntos) para no perder la certificacin.
Tipos de Auditora de Sistemas
Dentro de la auditora informtica destacan los siguientes tipos (entre otros):
Auditora de la gestin: la contratacin de bienes y servicios, documentacin delos programas, etc.
Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas de

seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos.


Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de los flujogramas.
Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de
los datos.
Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad,
confidencialidad, autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de
riesgo, y en algunos casos no revelando la situacin fsica de esta. Tambin est referida a las
protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de
informacin.
Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de autenticacin en los
sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.
Importancia de la Auditoria Informtica
La auditora permite a travs de una revisin independiente, la evaluacin de actividades,
funciones especficas, resultados u operaciones de una organizacin, con el fin de evaluar su
correcta realizacin. Este autor hace nfasis en la revisin independiente, debido a que el auditor
debe mantener independencia mental, profesional y laboral para evitar cualquier tipo de
influencia en los resultados de la misma.
la tcnica de la auditora, siendo portanto aceptables equipos multidisciplinarios formados por
titulados en Ingeniera Informtica e Ingeniera Tcnica en Informtica y licenciados en derecho
especializados en el mundo de la auditora.

TEMA 3: normas, tecnicas y procedimientos de auditoria


El desarrollo de una auditora se basa en la aplicacin de normas, tcnicas y procedimientos de
auditora. Para nuestro caso, estudiaremos aquellas enfocadas a la auditora en informtica.
Es fundamental mencionar que para el auditor en informtica conocer los productos de software
que han sido creados para apoyar su funcin aparte de los componentes de la propia
computadora resulta esencial, esto por razones econmicas y para facilitar el manejo de la
informacin.
El auditor desempea sus labores mediante la aplicacin de una serie de conocimientos
especializados que vienen a formar el cuerpo tcnico de su actividad. El auditor adquiere
responsabilidades, no solamente con la persona que directamente contratan sus servicios, sino
con un nmero de personas desconocidas para l que van a utilizar el resultado de su trabajo
como base para tomar decisiones.
La auditora no es una actividad meramente mecnica, que implique la aplicacin de ciertos
procedimientos cuyos resultados, una vez llevados a cabo son de carcter indudable. La auditora
requiere el ejercicio de un juicio profesional, slido maduro, para juzgar los procedimientos que
deben seguirse y estimar los resultados obtenidos.
Tcnicas.

Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba que
utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y
conclusiones, su empleo sebasa en su criterio o juicio, segn las circunstancias.
Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la empresa u
organizacin a ser auditada, que pudieran necesitar una mayor atencin.
Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no son elegidas
adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las
tcnicas as como los procedimientos de auditora tienen una gran importancia para el auditor.
Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican
generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares,
verbales, por escrito, por revisin del contenido de documentos y por examen fsico.
Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de la siguiente
manera:
Estudio General
Anlisis
Inspeccin
Confirmacin
Investigacin
Declaracin
Certificacin
Observacin
Clculo

PROCEDIMIENTOS
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o circunstancias que nos
sirven para fundamentar la opinin del auditor dentro de una auditora, se les dan el nombre de
procedimientos de auditora en informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditora, y al conjunto de
programas de auditora se le denomina plan de auditora, el cual servir al auditor para llevar una
estrategia y organizacin de la propia auditora.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola
prueba, es necesario examinar los hechos, mediante varias tcnicas de aplicacinsimultnea.
En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
Analizar las caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedimiento de
auditora sern los ms indicados para obtener su opinin.
Anlisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos de auditora,

de los cuales destacan el anlisis de datos, ya que para las organizaciones el conjunto de datos o
informacin son de tal importancia que es necesario verificarlos y comprobarlos, as tambin tiene
la misma importancia para el auditar ya que debe de utilizar diversas tcnicas para el anlisis de
datos, basados en [bib-solis-2002], las cuales se describen a continuacin.
Comparacin de programas
Esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos de
proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto que ha
sido modificado en forma indebida, para encontrar diferencias.
Mapeo y rastreo de programas.
Esta tcnica emplea un software especializado que permite analizar los programas en ejecucin,
indicando el nmero de veces que cada lnea de cdigo es procesada y las de las variables de
memoria que estuvieron presentes.
Anlisis de cdigo de programas
Se emplea para analizar los programas de una aplicacin. El anlisis puede efectuarse en forma
manual (en cuyo caso slo se podra analizar el cdigo ejecutable).
Datos de prueba
Se emplea para verificar que losprocedimientos de control incluidos los programas de una
aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una serie
de transacciones que contienen tanto datos correctos como datos errneos predeterminados.
Datos de prueba integrados
Tcnica muy similar a la anterior, con la diferencia de que en sta se debe crear una entidad, falsa
dentro de los sistemas de informacin.
Anlisis de bitcoras
Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma manual
o por medio de programas especializados, tales como bitcoras de fallas del equipo, bitcoras de
accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos ejecutados.
Simulacin paralela
Tcnica muy utilizada que consiste en desarrollar programas o mdulos que simulen a los
programas de un sistema en produccin. El objetivo es procesar los dos programas o mdulos de
forma paralela e identificar diferencias entre los resultados de ambos.
Monitoreo
Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs del tiempo para
verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es
precisamente el mbito de esta tcnica, a continuacin se muestran los procesos de monitoreo:
M1 Monitoreo del proceso.
M2 Evaluar lo adecuado del control Interno.
M3 Obtencin de aseguramiento independiente.
M4 Proveer auditora independiente.
M1 Monitoreo del proceso
Asegura el logro de los objetivos para los procesos de TI, lo cual se logra definiendo por parte de la
gerencia reportes e indicadores de desempeo y la implementacin de sistemas de soporte as
como laatencin regular a los reportes emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y factores crticos de xito y
compararlos con los niveles propuestos para evaluar el desempeo de los procesos de la

organizacin.
M2 Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control interno establecidos para los procesos de TI, para ello
se debe monitorear la efectividad de los controles internos a travs de actividades administrativas,
de supervisin, comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en
forma regular.
M3 Obtencin de aseguramiento independiente
Incrementa los niveles de confianza entre la organizacin, clientes y proveedores, este proceso se
lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y
control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten
crticos, as como para trabajar con nuevos proveedores de servicios de tecnologa de informacin,
luego la gerencia deber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas
sobre la efectividad de los servicios de tecnologa de informacin, de los proveedores de estos
servicios as como tambin asegurarse el cumplimiento de los compromisos contractuales de los
servicios de tecnologa de informacin y de los proveedores de dichos servicios.
M4 Proveer auditora independiente.
Incrementa los niveles de confianza de recomendaciones basadas en mejores prcticas de su
implementacin, lo que se logra con el uso de auditoras independientes desarrolladas a
intervalosregulares de tiempo.
Para ello la gerencia deber establecer los estatutos para la funcin de auditora, destacando en
este documento la responsabilidad, autoridad y obligaciones de la auditora.
El auditor deber ser independiente del auditado, esto significa que los auditores no debern estar
relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser
independiente de la propia empresa, esta auditora deber respetar la tica y los
estndares profesionales, seleccionando para ello auditores que sean tcnicamente competentes,
es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes
de auditora informtica.
La funcin de la auditora informtica deber proporcionar un reporte que muestre los objetivos,
perodo de cobertura, naturaleza y trabajo de auditora realizado, as como tambin la
organizacin, conclusin y recomendaciones relacionadas con el trabajo de auditora informtica
llevado a cabo.
Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas, las
vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos, el
nmero de ataques tambin aumenta, por lo anterior las organizaciones deben reconocer la
importancia y utilidad de la informacin contenida en las bitcoras de los sistemas de cmputo as
como mostrar algunas herramientas que ayuden a automatizar el proceso de anlisis de las
mismas.
El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo generan una gran
cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de gran ayuda
ante un incidente deseguridad, as como para el auditor.
Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema

que la genera los cuales pueden ser:


Fecha y hora.
Direcciones IP origen y destino.
Direccin IP que genera la bitcora.
Usuarios.
Errores.
La importancia de las bitcoras es la de recuperar informacin ante incidentes de seguridad,
deteccin de comportamiento inusual, informacin para resolver problemas, evidencia legal, es de
gran ayuda en las tareas de cmputo forense.
Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes:
Para UNIX, Logcheck, SWATCH.
Para Windows, LogAgent
Las bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya que estn
teniendo mucha relevancia, como evidencia en aspectos legales.
El uso de herramientas automatizadas es de mucha utilidad para el anlisis de bitcoras, es
importante registrar todas las bitcoras necesarias de todos los sistemas de cmputo para
mantener un control de las mismas.

TEMA 4: PLANEACION Y SUPERVISION DEL TRABAJO DE AUDITORIA


Como todo proyecto implantado dentro de una organizacin, el proyecto de auditora informtica
debe iniciar con una fase de planeacin en la cual participen todas las reas de la organizacin
para identificar los recursos necesarios que permitirn llevar a cabo este proyecto, como son,
objetivos que se pretenden alcanzar con el proyecto, anlisis costo/beneficio, personal humano
que intervendr en el proyecto, marco de referencia de Auditora Informtica que se va a utilizar,
basndose en varios objetivos fundamentales que son:
Evaluacin de los sistemas y procedimientos.
Evaluacin de losequipos de cmputo
Evaluacin del proceso de datos
Lo cual se resume en obtener un conocimiento inicial de la organizacin a evaluar, con especial
nfasis en sus procesos informticos basados en evaluaciones administrativas realizadas a los
procesos electrnicos, sistemas y procedimientos, equipos de cmputo, seguridad y
confidencialidad de la informacin, y aspectos legales de los sistemas y la informacin. Cada
proyecto de auditora en informtica respalda los objetivos y requerimientos de tres entidades del
negocio en alto o bajo grado:
1. Alta direccin
1. Seguimiento a proyectos relacionados con tecnologa informtica.
2. Verificacin y aseguramiento del cumplimiento de polticas tecnologa informtica.
3. Otros aspectos de inters para la alta direccin.
2. Auditoria
1. Apoyo en la definicin, implantacin y seguimiento de polticas, controles y procedimientos
de auditoria, relacionadas directa o indirectamente con la tecnologa de informtica (sistemas de
informacin, equipos de cmputo, comunicaciones, etc.).

2. Planes de capacitacin en el uso y entendimiento de software de auditora, herramientas de


productividad (hojas electrnicas, procesadores de palabras, graficadores, diagramadores, etc.),
base de datos (consulta de informacin, por ejemplo), equipos de cmputo (micros, terminales,
porttiles, etc.); otros de inters para los auditores.
3. Otros de inters para el desarrollo eficiente de los auditores cuando evalen reas del negocio
que se apoyan en informtica.
3. Informtica
1. Apoyo en la definicin, implantacin y seguimiento de polticas, controles, procedimientos y
estndares relativos a la organizacin y administracin deinformtica, el proceso de planeacin, la
evaluacin y adquisicin de nueva tecnologa, la evaluacin y adquisicin de servicios, el desarrollo
e implantacin de soluciones (EDI, CASE, base de datos, telecomunicaciones, sistemas
estratgicos, multimedia, etc.) y otros de inters para informtica.
Objetivos de la Planificacin de una auditoria
El proceso de planeacin de la auditoria tiene como objetivo fundamentar el establecimiento y
definicin de diferentes tpicos nombrados a continuacin:
Metodologa a ser usada
Polticas y reglas a seguir
Metas u objetivos de la auditoria
Programas de trabajo de auditoria
Personal que intervendr en el proyecto
Presupuesto financiero
Las fechas y la manera como se presentarn los informes de las actividades de cumplimiento del
proyecto, basados en la realidad de la organizacin evaluada.
Importancia de la Planeacin
De la adecuada Planeacin y Supervisin el auditor podr obtener los resultados satisfactorios
que le sirvan de base para sustentar su opinin manifestada en su dictamen. Por esto una de las
Normas de Auditora le obliga a que su trabajo deba ser tcnicamente planeado y ejercerse una
supervisin apropiada sobre los asistentes si estos participan en el examen, como una garanta de
calidad hacia los usuarios. La Planeacin de la Auditora permite establecer la extensin y el
alcance de las pruebas a utilizar y la supervisin sobre el recurso humano que le colaborar
durante el desarrollo del trabajo.
Personal Participante
Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el
personal que deber participar y sus caractersticas. Uno de los esquemasgeneralmente aceptados
para tener un adecuado control es que el personal que intervengan est debidamente capacitado,
con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le
retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional y
capacitacin que debe tener el personal que intervendr en la auditora. En primer lugar se debe
pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar
el desarrollo de la auditora, proporcionar toda la informacin que se solicite y programar las
reuniones y entrevistas requeridas. ste es un punto muy importante ya que, de no tener el apoyo
de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o
varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con

las caractersticas deseadas.


Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se
solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos
proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya que
se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el del
usuario del sistema. Para completar el grupo, como colaboradores directos en la realizacin de la
auditora se deben tener personas con las siguientes caractersticas:
Tcnico en informtica.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos de los sistemas ms importantes.
Encaso de sistemas complejos se deber contar con personal con conocimientos y experiencia en
reas especficas como base de datos, redes.
Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas,
pero si deben intervenir una o varias personas con las caractersticas apuntadas.
Documentos Resultantes de la planificacin de la Auditora Informtica
Dentro del proceso de planificacin de la Auditora Informtica se debe incluir y documentar por lo
menos los siguientes aspectos:
Se debe definir los objetivos y el alcance del trabajo.
El relevamiento de informacin de las actividades a auditarse en la que se apoyar el anlisis.
Los recursos que se necesitarn para llevar a cabo el proyecto de auditora.
Los canales de comunicacin necesarios entre los involucrados en el proyecto de auditora.
El procedimiento apropiado a utilizarse para realizar una inspeccin fsica que permita la
obtencin del conocimiento de la manera como se ejecutan las actividades y controles a auditar,
as como de las reas crticas en las que se debe poner mayor nfasis al realizar la auditora.
La declaracin por escrito del programa de auditora.
Determinar los responsables de analizar los resultados de la auditora, los plazos de tiempo en los
que se deber llevar a cabo el proyecto de auditora y la forma en la que se presentarn los
resultados de la misma.
La aprobacin del plan de trabajo de auditora.
Consideraciones para la planificacin de una auditoria informtica
Diagnstico de la situacin actual de los sistemas de informacin en operacin
Debilidades que pueden motivar la auditora de un sistema de informacinClasificacin de riesgos
que representa el uso de hardware y software en la organizacin
Evaluacin del nivel de riesgo que representa el uso inadecuado de los productos y servicios por el
personal de informtica y usuarios dentro de la organizacin
Otros aspectos: Telecomunicaciones, EDI (intercambio electrnico de datos), automatizacin de
procesos
Clasificacin de los riesgos segn criterios establecidos por la funcin de auditora informtica
Elaboracin de una matriz de riesgos que muestre las reas de la funcin de informtica
susceptibles de una revisin por parte de auditora en el siguiente periodo
Elaboracin de un plan consolidado de proyectos

Revisin de la matriz de riesgos y del pronstico de proyectos de auditora en informtica con la


gerencia o direccin a la que reporta directamente la funcin de informtica
Presentacin del plan de proyectos de la funcin de auditora en informtica a la alta direccin
Realizacin de cada uno de los proyectos de acuerdo con el plan de auditora en informtica
Integracin y formalizacin de equipos de trabajo
Aprobacin formal de la alta direccin del informe final de la auditora en informtica realizada
TEMA 5: USO DE TECNICAS ASISTIDAS POR COMPUTADORA
La utilizacin de equipos de computacin en las organizaciones, ha tenido una repercusin
importante en el trabajo del auditor, no slo en lo que se refiere a los sistemas de informacin,
sino tambin al uso de las computadoras en la auditora.
Al llevar a cabo auditoras donde existen sistemas computarizados, el auditor se enfrenta a
muchos problemas de muy diversa condicin, uno de ellos, es la revisin de los procedimientos
administrativos decontrol interno establecidos en la empresa que es auditada.
La utilizacin de paquetes de programas generalizados de auditora ayuda en gran medida a la
realizacin de pruebas de auditora, a la elaboracin de evidencias plasmadas en los papeles de
trabajo.
Segn [bib-zavaro-martinez] las tcnicas de auditora Asistidas por Computadora (CAAT) son la
utilizacin de determinados paquetes de programas que actan sobre los datos, llevando a cabo
con ms frecuencia los trabajos siguientes:
Seleccin e impresin de muestras de auditoras sobre bases estadsticas o no estadsticas, a lo
que agregamos, sobre la base de los conocimientos adquiridos por los auditores.
Verificacin matemtica de sumas, multiplicaciones y otros clculos en los archivos del sistema
auditado.
Realizacin de funciones de revisin analtica, al establecer comparaciones, calcular razones,
identificar fluctuaciones y llevar a cabo clculos de regresin mltiple.
Manipulacin de la informacin al calcular subtotales, sumar y clasificar la informacin, volver a
ordenar en serie la informacin, etc.
Examen de registros de acuerdo con los criterios especificados.
Bsqueda de alguna informacin en particular, la cual cumpla ciertos criterios, que se encuentra
dentro de las bases de datos del sistema que se audita.
Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al auditor, evaluar
las mltiples aplicaciones especficas del sistema que emplea la unidad auditada, el examinar un
diverso nmero de operaciones especficas del sistema, facilitar la bsqueda de evidencias, reducir
al mnimo el riesgo de la auditora para que los resultados expresen la realidad objetivade las
deficiencias, as como de las violaciones detectadas y elevar notablemente la eficiencia en el
trabajo.
Teniendo en cuenta que se haca imprescindible auditar sistemas informticos; as como disear
programas auditores, se deben incorporar especialistas informticos, formando equipos
multidisciplinarios capaces de incursionar en las auditoras informticas y comerciales,
independientemente de las contables, donde los auditores que cumplen la funcin de jefes de
equipo, estn en la obligacin de documentarse sobre todos los temas auditados.
De esta forma los auditores adquieren ms conocimientos de los diferentes temas, pudiendo
incluso, sin especialistas de las restantes materias realizar anlisis de esos temas, aunque en
ocasiones es necesario que el auditor se asesore con expertos, tales como, ingenieros industriales,

abogados, especialistas de recursos humanos o de normalizacin del trabajo para obtener


evidencia que le permita reunir elementos de juicio suficientes.
Evaluacin del control interno.
En un ambiente de evolucin permanente, determinado por las actuales tendencias mundiales, las
cuales se centran en el plano econmico soportadas por la evolucin tecnolgica, surge la
necesidad de que la funcin de auditora pretenda el mejoramiento de su gestin.
La prctica de nuevas tcnicas para evaluar el control interno a travs de las cuales, la funcin de
auditora informtica pretende mejorar la efectividad de su funcin y con ello ofrecer servicios
ms eficientes y con un valor agregado.
La evolucin de la teora del control interno se defini en base a los principios de los controles
como mecanismos o prcticas para prevenir,identificar actividades no autorizadas, ms tarde se
incluy el concepto de lograr que las cosas se hagan; la corriente actual define al control como
cualquier esfuerzo que se realice para aumentar las posibilidades de que se logren los objetivos de
la organizacin.
En este proceso evolutivo se considera actualmente, y en muchas organizaciones que el director
de finanzas, contralor o al director de auditora como los responsables principales del correcto
diseo y adecuado funcionamiento de los controles internos.
Benchmarking
Las empresas u organizaciones deben buscar formas o frmulas que las dirijan hacia una mayor
calidad, para poder ser competitivos, una de estas herramientas o frmulas es el Benchmarking.
Existen varios autores que han estudiado el tema, y de igual manera existen una gran cantidad de
definiciones de lo que es benchmarking, a continuacin se presentan algunas definiciones.
Benchmarking es el proceso continuo de medir productos, servicios y prcticas contra los
competidores o aquellas compaas reconocidas como lderes en la industria.
Esta definicin presenta aspectos importantes tales como el concepto de continuidad, ya que
benchmarking no slo es un proceso que se hace una vez y se olvida, sino que es un proceso
continuo y constante.
Segn la definicin anterior podemos deducir que se puede aplicar benchmarking a todas las
facetas de las organizaciones, y finalmente la definicin implica que el benchmarking se debe
dirigir hacia aquellas organizaciones y funciones de negocios dentro de las organizaciones que son
reconocidas como las mejores.
Entre otras definiciones tenemos la extrada del libro Benchmarking de Bengt, la cual
es:benchmarking es un proceso sistemtico y contino para comparar nuestra propia eficiencia
en trminos de productividad, calidad y prcticas con aquellas compaas y organizaciones que
representan la excelencia.
Como vemos en esta definicin se vuelve a mencionar el hecho de que benchmarking es un
proceso continuo, tambin se presenta el trmino de comparacin y por ende remarca la
importancia de la medicin dentro del benchmark.
Estos autores se centran, a parte de la operaciones del negocio, en la calidad y en la productividad
de las mismas, considerando el valor que tienen dichas acciones en contra de los costos de su
realizacin lo cual representa la calidad, y la relacin entre los bienes producidos y los recursos
utilizados para su produccin, lo cual se refiere a la productividad.
Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque
difieren en algunos aspectos tambin se puede notar que concuerdan o presentan una serie de

elementos comunes.
Para empezar en la mayora de ellas se resalta el hecho de que benchmarking es un proceso
continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que es un
proceso que se aplicar una y otra vez ya que dicho proceso est en bsqueda constante de las
mejores prcticas de la industria, y como sabemos la industria est en un cambio constante y para
adaptarse a dicho cambio desarrolla nuevas prcticas, por lo que no se puede asegurar que las
mejores prcticas de hoy lo sern tambin de maana.
Tambin se vio en las diferentes definiciones que este proceso no slo es aplicable a las
operaciones de produccin, sino que puede aplicarse a todas lafases de las organizaciones, por lo
que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones
del negocio, hasta el punto de ser los mejores en la industria, observando aspectos tales como la
calidad y la productividad en el negocio.
De igual manera podemos concluir que es de suma importancia como una nueva forma de
administrar ya que cambia la prctica de compararse slo internamente a comparar nuestras
operaciones en base a estndares impuestos externamente por las organizaciones conocidas
como las de excelencia dentro de la industria.
Dentro del benchmarking existen los siguientes tipos:
Benchmarking interno
En la mayor parte de las grandes organizaciones con mltiples divisiones o internacionales hay
funciones similares en diferentes unidades de operacin, una de las investigaciones de
benchmarking ms fcil es comparar estas operaciones internas, tambin debe contarse con
facilidad con datos e informacin y no existir problemas de confidencialidad y los datos ser tan
amplios y completos como se desee.
Este primer paso en las investigaciones de benchmarking es una base excelente no slo para
descubrir diferencias de inters sino tambin centrar la atencin en los temas crticos a que se
enfrentara o que sean de inters para comprender las practicas provenientes de investigaciones
externas, tambin pueden ayudar a definir el alcance de un estudio externo.
Benchmarking competitivo
Los competidores directos de productos son contra quienes resulta ms obvio llevar a cabo el
benchmarking, ellos cumpliran, o deberan hacerlo, con todas las pruebas de comparabilidad, en
definitiva cualquier investigacin de benchmarkingdebe mostrar cuales son las ventajas y
desventajas comparativas entre los competidores directos.
Uno de los aspectos ms importantes dentro de este tipo de investigacin a considerar es el hecho
que puede ser realmente difcil obtener informacin sobre las operaciones de los competidores,
quiz sea imposible obtener informacin debido a que est patentada y es la base de la ventaja
competitiva de la empresa.
Benchmarking genrico
Algunas funciones o procesos en las organizaciones son las mismas, el beneficio de esta forma de
benchmarking, es que se pueden descubrir prcticas y mtodos que no se implementan en la
organizacin propia del investigador. Este tipo de investigacin tiene la posibilidad de revelar lo
mejor de las mejores prcticas, la necesidad de objetividad y receptividad por parte del
investigador.
Que mejor prueba que la posibilidad de ponerlo en prctica si se pudiera obtener que el hecho de
que la tecnologa ya se ha probado y se encuentra en uso en todas partes, el benchmarking

genrico requiera de una amplia conceptualizacin, pero con una comprensin cuidadosa del
proceso genrico.

TEMA 6: RESPONSABILIDAD DEL AUDITOR EN EL DESCUBRIMIENTO DE ERRORES Y DESVIACIONES


El auditor debe aceptar toda la responsabilidad por sus actos, pero no debe aceptar el asumir las
responsabilidades que corresponden a la gerencia de la empresa cliente, pues l es un regulador
de los actos de la gerencia y no parte de ella.
La responsabilidad del auditor se puede dividir en 4 partes:
1. Responsabilidad por incumplimiento de contrato
2. Responsabilidad por negligencia.
3. Responsabilidad por fraude
4. Responsabilidad con las leyes de regulacin.Responsabilidad del auditor frente al
descubrimiento de fraudes u otras irregularidades.
Es norma internacionalmente establecida que los estados financieros representan manifestaciones
de la direccin de la compaa, no obstante que el auditor pueda cooperar en su preparacin y en
la de las notas a los mismos. La funcin del auditor es examinar los estados financieros y expresar
su opinin profesional e independiente sobre dichos estados.
El examen normal de los estados financieros no tiene como objetivo expreso descubrir fraudes y
no puede depender del mismo para ello.
Sin embargo, al planificar y efectuar su examen y al emitir su opinin sobre la responsabilidad de
los estados financieros, el auditor debe tener en cuenta la posibilidad de que puedan existir
irregularidades (incluyendo desfalco y otros semejantes), as como tambin el hecho de que en
algunos casos el fraude o irregularidad sea de tal magnitud que afecte la presentacin justa de la
posicin financiera o de los resultados de operaciones. El examen, hecho de acuerdo con normas
de auditoria generalmente aceptadas considera esta posibilidad.
Como el propsito del auditor al efectuar un examen de estados financieros no es la deteccin de
irregularidades, al auditor entonces no podr responsabilizarse en lo absoluto en el no
descubrimiento de una irregularidad, siempre que ella no proviniera de una negligencia
profesional de su parte en la observacin de las normas y en la aplicacin de las tcnicas o los
procedimientos de auditoria aplicables de acuerdo con las circunstancias.

TEMA 7: IMPORTANCIA RELATIVA Y RIESGO DE AUDITORIA


El propsito de esta Norma Internacional deAuditora (NIA) es establecer normas y proporcionar
lineamientos sobre el concepto de importancia relativa y su relacin con el riesgo de auditora.
El auditor deber considerar la importancia relativa y su relacin con el riesgo de auditora cuando
conduzca una auditora.
La Importancia relativa est definida dentro del Marco de Referencia para la Preparacin de
Estados Financieros preparado por el Comit Internacional de Normas de Contabilidad (IASC) en
los trminos siguientes:
La informacin es de importancia relativa si su omisin o representacin errnea pudiera influir
en las decisiones econmicas de los usuarios tomadas con base en los estados financieros. La
importancia relativa depende del tamao de la partida o error juzgado en las circunstancias
particulares de su omisin o representacin errnea. As, la importancia relativa ofrece un punto
de separacin de la partida en cuestin, ms que ser una caracterstica primordial cualitativa que
deba tener la informacin para ser til.
Importancia relativa
El objetivo de una auditora de estados financieros es hacer posible al auditor expresar una
opinin sobre si los estados financieros estn preparados, respecto de todo lo importante, de
acuerdo con un marco de referencia para informes financieros identificado. La evaluacin de qu
es importante es un asunto de juicio profesional.
Al disear el plan de auditora el auditor establece un nivel aceptable de importancia relativa a
modo de detectar en forma cuantitativa las representaciones errneas de importancia relativa. Sin
embargo, debern considerarse tanto el monto (cantidad) como la naturaleza (calidad) de las
representaciones.Ejemplos de representaciones errneas cualitativas sera la descripcin
inadecuada e impropia de una poltica de contabilidad cuando sea probable que un usuario de los
estados financieros fuera guiado equivocadamente por la descripcin, y el dejar de revelar la
infraccin a requisitos reguladores cuando sea probable que la imposicin consecuente de
restricciones regulatorias har disminuir en forma importante la capacidad de operacin.
El auditor deber considerar la posibilidad de representaciones errneas de cantidades
relativamente pequeas que, acumulativamente podran tener un efecto importante sobre los
estados financieros. Por ejemplo, un error en un procedimiento de fin de mes podra ser una
indicacin de una representacin errnea de importancia relativa si ese error se repitiera cada
mes.
El auditor considera la importancia relativa tanto al nivel global del estado financiero como en
relacin a saldos de cuentas particulares, clases de transacciones y revelaciones. La importancia
relativa puede ser influida por consideraciones como requerimientos legales y reguladores y
consideraciones que se refieren a saldos de una cuenta de los estados financieros y sus relaciones
con otras cuentas. Este proceso puede dar como resultado diferentes niveles de importancia
relativa dependiendo del aspecto de los estados financieros que est siendo considerado.
La importancia relativa deber ser considerada por el auditor cuando:
(a) determina la naturaleza, oportunidad y alcance de los procedimientos de auditora; y
(b) evala el efecto de las representaciones errneas
La relacin entre importancia relativa y el riesgo de auditora
Cuando elauditor planea la auditora, deber considerar qu hara que los estados financieros

estuvieran representados errneamente con una importancia relativa. La evaluacin del auditor
de la importancia relativa, relacionada con saldos de cuentas y clases de transacciones especficas,
ayuda al auditor a decidir sobre aspectos como qu partidas examinar y si aplicar procedimientos
de muestreo y analticos. Esto da capacidad al auditor para seleccionar procedimientos de
auditora que, en combinacin, pueda esperarse que reduzcan el riesgo de auditora a un nivel
aceptablemente bajo.
Hay una relacin inversa entre la importancia relativa y el nivel de riesgo de auditora, que es que
mientras ms alto sea el nivel de importancia relativa, ms bajo es el riesgo de auditora y
viceversa. El auditor toma en cuenta la relacin inversa entre importancia relativa y riesgo de
auditora cuando determina la naturaleza, oportunidad y alcance de los procedimientos de
auditora. Por ejemplo, si despus de planear procedimientos de auditora especficos, el auditor
determina que el nivel de importancia relativa aceptable es ms bajo, el riesgo de auditora
aumenta.
El auditor compensar esto:
(a) Reduciendo el nivel evaluado de riesgo de control, cuando esto sea factible, y apoyando el
nivel reducido desarrollando pruebas de control extensas o adicionales; o
(b) Reduciendo el riesgo de deteccin al modificar la naturaleza, oportunidad y alcance de los
procedimientos sustantivos planeados.
Evaluacin del efecto de representaciones errneas
Al evaluar la apropiada presentacin de los estados financieros, el auditor deber evaluar si el
valor acumulado de lasrepresentaciones errneas no corregidas que han sido identificadas
durante la auditora, es de importancia relativa.
Si la administracin se niega a ajustar los estados financieros y los resultados de los
procedimientos de auditora ampliados no capacitan al auditor para concluir que el valor
acumulado de las representaciones errneas no corregidas no es de importancia relativa, el
auditor deber considerar la modificacin apropiada de su dictamen de acuerdo con la NIA El
Dictamen del Auditor sobre Estados Financieros.

TEMA 8: DOCUMENTACION DE LA AUDITORIA


La documentacin de la auditoria de sistemas informticos es el registro del trabajo de auditoria
realizado, la evidencia que sirve de soporte a las debilidades encontradas y las conclusiones del
auditor. En estos documentos, se denominan papeles de trabajo.
Los papeles de trabajo se deben disear y organizar segn las circunstancias y las necesidades del
auditor. Estos han de ser completados, claros y concisos. Todo el trabajo de la auditoria debe
quedar reflejado en papeles de trabajo por los siguientes motivos:
Recogen la evidencia obtenida a lo largo del trabajo
Ayudan al auditor en el desarrollo de su trabajo
Ofrecen soporte al trabajo realizado para poder utilizarlo en auditorias sucesivas
Permiten que el trabajo pueda ser revisado por terceros

Sirve para fomentar un enfoque metdico de labor que se lleva


Para concluir la importancia que tienen los papeles de trabajo, digamos que una vez que el auditor
ha finalizado su trabajo son la nica prueba de que el auditor ha llevado a cabo un examen
adecuado. Siempre existe la posibilidad de que auditor tenga que demostrar la calidad de su
anlisisen un tribunal.
ARCHIVOS
Los papeles de trabajo que el auditor va elaborando se pueden organizar en dos archivos
principales: el archivo permanente o continuo de auditoria, y el archivo corriente o de auditoria en
curso.
Archivo Permanente: El archivo permanente contiene todos aquellos papeles, que tienen un
inters continuo, una validez plurianual, tales como:
Consideraciones del negocio
Consideraciones del sector
Composicin del consejo de administracin
Caractersticas de los equipos
Manuales de los equipos y de las aplicaciones
Descripcin de los procedimientos contables
Descripcin del control interno
Organigramas del C.P.D y divisin de funciones
Cuadro de planificacin plurianual de auditoria
Escrituras y contratos
En general toda aquella informacin de importancia para auditorias posteriores

TEMA 9: EVIDENCIA COMPROBATORIA


El auditor debe de tener evidencia comprobatoria y adecuada, mediante la evaluacin y
realizacin de las pruebas de auditoria que se consideren necesarias, al objeto de obtener una
base de juicio razonable sobre los datos que se examinan y poder expresar una opinin al respecto
de las mismas.
1. Evidencia Suficiente

Es una caracterstica cuantitativa de la evidencia, se entiende por tal el nivel el nivel de evidencia
que el auditor debe obtener a travs de sus pruebas de auditoria para llegar a conclusiones
razonables.
2. Evidencia Inadecuada
Esta es una caracterstica cualitativa de la evidencia. La evidencia es adecuada cuando es til para
que el auditor pueda emitir su opinin profesional.
3. Obtencin de evidencia
Sin que la siguiente relacin tenga carcterexclusivo, la evidencia suele obtenerse de:
Manuales de organizacin de la empresa
Los manuales de procedimiento del C.D.P
El manual de auditoria interna de la empresa
De confirmaciones externas
Del archivo permanente de los auditores internos
De entrevistas con el personal de la empresa
TEMA 10: CONTROL INTERNO
Control: actividad realizada manual o automticamente para prevenir, corregir errores o
irregulares que puedan afectar al funcionamiento de un sistema a la hora de conseguir sus
objetivos.
El Control Interno Informtico controla diariamente que todas las actividades de los sistemas de
informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la
Direccin de la Organizacin y/o la Direccin de Informtica, as como los requerimientos legales.
La misin del Control Interno Informtico es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y vlidas.

El control es diario o muy frecuente cuyos principales objetivos son:


Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados
adecuados del servicio informtico.
Ver que todo se hace segn los procedimientos internos y normas legales: se debe controlar que
todas las actividades se realizan cumpliendo con los procedimientos y normas fijados, evaluar su
bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas al resto de la organizacin.

Colaborar y apoyar al trabajo de la Auditora Informtica, as como de las auditoras externas al


Grupo.
Esto se hace con diferentes pruebas y controles(sistemas de control interno informtico). Adems,
se debe realizar en los diferentes sistemas y entornos informticos el control de las diferentes
actividades operativa sobre:
El cumplimiento de procedimientos, normas y controles dictados.
Controles:
Sobre la produccin diaria.
Sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informtico.
En las redes de comunicaciones
Sobre el software de base.
En los sistemas microinformticos.
La seguridad informtica.
Licencias y relaciones contractuales con terceros.
Asesor y transmitir cultura sobre el riesgo informtico.
La auditora suele acometerse con personal interno e informa la Direccin del Departamento de
Informtica.
Auditoria Informtica.
Auditora: opinin profesional, sustentada en determinados procedimientos, sobre si el objeto
sometido a anlisis (normalmente con datos obtenidos sobre l) refleja y/o cumple las condiciones
que le han sido prescritas (fiabilidad).
La Auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si
un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva al cabo
eficazmente los fines de la organizacin y utiliza eficientemente los recursos.
La Auditora Informtica es puntual, cuyos principales objetivos son:
-Objetivos de proteccin de activos y datos, e integridad de los datos.
-Objetivos de gestin sobre la eficacia y eficiencia de los procesos, as como de la utilidad,
fiabilidad e integridad de los equipos e informacin.
El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el diseo y
el funcionamientode los controles implantados. Y sobre la fiabilidad de la informacin
suministrada.

Se puede establecer tres grupos de funciones a realizar por un auditor informtico:


Participar en las revisiones durante y diseo.
Revisar y juzgar los controles implantados en los sistemas informticos para verificar su

adecuacin a las rdenes e instrucciones de la Direccin, as como requisitos legales, proteccin de


confidencialidad y cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos y de la
informacin.
La auditora suele acometerse con personal externo, adems del posible personal interno. E
informa la Direccin del Departamento de Informtica.
Control Interno y Auditoria Informtica
Similitudes: Lo puede acometer personal interno; conocimientos especializados en TI; verificacin
del cumplimiento de controles internos, normativas, y procedimientos establecidos por la
Direccin de Informtica y la Direccin General para los sistemas de informacin.

CONTROL INTERNO INFORMATICO


AUDITOR INFORMTICO
DIFERENCIAS
1.- Anlisis de los controles en el da a da.
2.- Informa a la Direccin del Departamento de Informtica.
3.- Solo persona interno.
4.- El alcance de sus funciones es nicamente sobre el Departamento de Informtica.
1.- Anlisis en un momento determinado
2.- Informa a la Direccin General de la Organizacin.
3.- Tanto personal interno como externo.
4.- El alcance de sus funciones tiene cobertura sobre todos los componentes de los sistemas de
informacin de la Organizacin.

SISTEMAS DE CONTROL INTERNO INFORMTICO


Definicin y tipos de controlesinternos. Los controles cuando se diseen, desarrollen e implanten
han de ser al menos completos, simples, fiables, revisables, adecuados y rentables. Normalmente,
estos controles son automticos, aunque sus resultados se revisan de forma manual.
Los objetivos de los controles informticos se han clasificados en las siguientes categoras:
Controles preventivos: controles para tratar de evitar un hecho, como un software de seguridad
que impida los accesos no autorizados al sistema.
Controles detectivos: controles para cuando fallan los controles preventivos, se de tratar de
conocer cuanto antes el evento.
Controles correctivos: controles que facilitan la vuelta a la normalidad cuando se ha producido
incidencias (por ejemplo, copias de seguridad).
Se deben definir objetivos de control y mtodos de control interno, por ejemplo; como objetivo
tenemos seguridad de acceso y el mtodo de control en este caso ser identificacin de
usuarios. Las relaciones no siempre son uno a uno.

Y existen diversos objetivos de control como:


Objetivo de Control de mantenimiento
Objetivo de Control de seguridad de programas.
Implantacin de un sistema de controles internos informticos.
Los controles pueden implantarse a varios niveles diferentes.
Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red,
as como los distintos niveles de control y elementos relacionados. Por tanto, se debe conocer a
fondo y documentar:
Entorno de red.
Configuracin del ordenador/es central/es (hots).
Entorno de aplicaciones.
Productos y herramientas de desarrollo de software.
Seguridad (en especial del ordenador central y basesde datos).
Para la implantacin de un sistema de controles internos informticos habr que definir objetivos,
mtodos y poltica de control para:
Gestin de sistemas de informacin: a travs de polticas, pautas y normas tcnicas que sirvan de
base para el diseo y la implantacin de los sistemas de informacin y de los controles
correspondientes.
Administracin de sistemas.: a travs de controles sobre la actividad de los centros de datos y
otras funciones de apoyo al sistema, incluyendo la administracin de las redes.
Seguridad: que debe incluir las tres clases de controles fundamentales implantados en el software
del sistema, como integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestin de cambio: separacin de las pruebas y la produccin a nivel de software y controles de
procedimientos, para la migracin de programas software aprobados y probados.
La implantacin de una poltica y cultura sobre la seguridad, requiere que sea realizada por fases,
como se puede ver en la siguiente figura, y est respaldada por la Direccin.

Cada funcin juega un papel importante en las distintas etapas que son, bsicamente, las
siguientes:
Direccin de Negocio o Direccin de Sistemas de Informacin (S.I.): han de definir la poltica y/o
directrices para los sistemas de informacin en base a las exigencias del negocio, que podrn ser
internas o externas.
Direccin de Informtica: ha de definir las normas de funcionamiento del entorno informtico y de
cada una de las funciones de informtica mediante la creacin y publicacin de procedimientos,
estndares, metodologa y normas, aplicables a todas las reas de informtica,as como a los
usuarios que establezcan el marco de funcionamiento.

Control Interno Informtico: ha de definir los diferentes controles peridicos a realizar encada una
de las funciones informticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseados
conforme a los objetivos de negocio y dentro del marco legal aplicable (estos se plasmarn en los
oportunos procedimientos de control interno y podrn ser preventivos o de deteccin). Realizar
peridicamente la revisin de los controles establecidos de Control Interno Informtico,
informando de las desviaciones a la Direccin de Informtica y sugiriendo cuantos cambios crea
convenientes en los controles.

Auditor interno/externo informtico: ha de revisar los diferentes controles internos definidos en


cada una de las funciones informticas y el cumplimiento de la normativa interna

y externa, de acuerdo al nivel de riesgo y conforme a los objetivos definidos por la Direccin de
Negocio y la Direccin de Informtica. Informar tambin a la Alta Direccin, de los hechos
observados y al detectarse deficiencias o ausencias de controles recomendarn acciones que
minimicen los riesgos que pueden originarse. La creacin de un sistema de control informtico es
una responsabilidad de la Gerencia y un punto destacable de la poltica en el entorno informtico.
A continuacin algunos controles internos, agrupados por secciones funcionales, y que seran los
que el Control Interno Informtico y la Auditora Informtica deberan verificar para determinar su
cumplimiento y validez:
1. Control generales organizativos: engloba una serie de elementos, tales como:
a. Polticas generales.b. Planificacin (plan estratgico de informacin, plan informtico, plan
general de seguridad y plan de emergencia ante desastres).
c. Estndares de adquisicin.
d. Procedimientos.
e. Organizar el departamento de informtica.
f. Descripcin de las funciones y responsabilidades dentro del departamento.
g. Polticas de personal.
h. Asignacin de funciones y responsabilidades.
i. Asegurar que la direccin revisa todos los informes de control y resuelve las excepciones que
ocurran.
j. Asegurar que existe una poltica de clasificacin de la informacin.
k. Designar oficialmente la figura del Control Interno Informtico y de la Auditora Informtica
2. Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de informacin: se
utilizan para que se puedan alcanzar la eficacia del sistema, economa y eficiencia, integridad de
los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones. Se compone de:
a. Metodologa del ciclo de vida del desarrollo de sistemas (como especificaciones, estndares
de pruebas, pases a produccin, roll-back, etc).
b. Explotacin y mantenimiento.
3.

Controles sobre la explotacin de los sistemas de informacin: consta de

a. Planificacin y gestin de recursos.


b. Presencia de personal en momentos crticos (calendario personal).
c. Reparto de costes informticos a la organizacin.
d. Controles propios (por ejemplo, accesos muy restringidos al host).
e. Revisiones tcnicas preceptivas.
f. Controles para usar de manera efectiva los recursos en ordenadores.
g. Procedimientos de seleccin del software delsistema, de instalacin, de mantenimiento, de
seguridad y de control de cambios.
h. Seguridad fsica y lgica (como definir un grupo de seguridad de la informacin, controles
fsicos, formacin y concienciacin de procedimientos de seguridad, seguridad contra
incendios/inundaciones, control de acceso restringido, normas que regulen el acceso a los
recursos informticos, existencia de un plan de contingencias, etc.)
4. Controles sobre las aplicaciones: cada aplicacin debe llevar controles incorporados para
garantizar la entrada, actualizacin, y mantenimiento de los datos:
a. Control de entrada de datos (validaciones, conversiones, formatos, procedencias).
b. Controles de tratamiento de datos (sobre usos no previstos).
c. Controles de salida de datos (dem entrada+seguridad).
5. Controles especficos de ciertas tecnologas:
a. Controles en Sistemas de Gestin de Bases de Datos.
b. Controles en informtica distribuida y redes.
c. Controles sobre ordenadores personales (ofimtica) y redes de rea local.
d. Controles conexiones OPEN HOST.
6. Controles de Calidad.
a. Existencia de un Plan General de Calidad basado en el Plan de la Entidad a Largo Plazo, y el
Plan a Largo Plazo de Tecnologa.
b. Esquema General de Garanta de Calidad: debe abordar todos los mbitos empresariales, no
slo la Informtica y las TI.
c. Compatibilidad de la revisin de Garanta de Calidad con las normas y procedimientos
habituales en las distintas funciones de Informtica.
d. Metodologa de Desarrollo de Sistemas.
e. Actualizacin de la Metodologa de Desarrollo de Sistemas respecto a cambios en
latecnologa.
f. Coordinacin y comunicacin.
g. Relaciones con proveedores que desarrollan sistemas.
h. Normas de documentacin de programas.
i. Normas de pruebas de programas.
j. Normas respecto a la Prueba de Sistemas,
k. Pruebas piloto o en paralelo.
l. Documentacin de las pruebas de sistemas.
m. Evaluacin del cumplimiento de garanta de Calidad de las Normas de Desarrollo.

TEMA 11: RESUMEN


Resumen del proceso general de planificacin de la auditoria informtica
1. Identificar el origen de la auditora
2. Realizar una visita preliminar al rea que ser evaluada
3. Establecer los objetivos de la auditora
4. Determinar los puntos que sern evaluados en la auditora
5. Elaborar planes, programas y presupuestos para realizar la auditora
6. Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios
para la auditora
7. Asignar los recursos y sistemas computacionales para la auditora
8. Redactar documentos y acuerdos
BIBLOGRAFIA
1. Piattini Velthuis, Mario G., Peso Navarro, Emilio del. Auditoria Informtica. Un enfoque
prctico.(2 edicin ampliada y revisada).
2. Jos Antonio Echenique. Auditoria Informtica. Mc-Graw Hill.
3. Enrique Hernndez Hernndez. Auditora en Informtica. CECSA.
4. Emilio ttomo Arop, Delip. Auditoria Informtica: Un enfoque prctico. Mc-Graw Hill.
5. Sols Montes, Gustavo Adolfo. Reingeniera de la Auditoria Informtica. Trillas.
6. Derrien, Yann. Tcnicas de la Auditoria Informtica. Alfaomega.
7. Javier F. Kuong. Seguridad, Control y Auditoria de las Tecnologas de Informacin. MASP.